Strona trzecia

Zgodnie z art. 4 ust. 10 RODO:  „strona trzecia” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż:

  • osoba, której dane dotyczą,
  • administrator,
  • podmiot przetwarzający,
  • osoby, które z upoważnienia administratora lub podmiotu przetwarzającego mogą przetwarzać dane osobowe.

Z powyższej definicji wynika, że strona trzecia nie jest: podmiotem danych, administratorem ani procesorem, nie jest też osobą, która mogłaby ich reprezentować czyli działać na podstawie upoważnienia do przetwarzania danych. Stroną trzecią nie jest osoba, której dane są przetwarzane, nie decyduje ona o celach i środkach przetwarzania, nie zleca przetwarzania zewnętrznym podmiotom, nie przetwarza danych na polecenie administratora, nie reprezentuje także żadnego z tych podmiotów.

Jednocześnie pojęcie strony trzeciej pojawia się w RODO w definicji „odbiorcy”, gdyż „Odbiorcą  jest (…) podmiot, któremu ujawnia się dane osobowe, niezależnie od tego czy jest stroną trzecią”.

Kiedy strona  trzecia zostanie w pewnym momencie włączona w proces przetwarzania danych i będzie decydować o celach i środkach przetwarzania, stanie się samodzielnym administratorem lub współadministratorem.  Kiedy strona trzecia otrzyma dostęp do danych i będzie działać na zlecenie administratora, będzie w procesie przetwarzania danych pełnić rolę podmiotu przetwarzającego, czy też osoby upoważnionej do przetwarzania, w zależności od relacji jaka łączy ją ze zlecającym przetwarzanie.

Strona trzecia może także reprezentować osobę, której dane są przetwarzane w momencie kiedy są to informacje nie wchodzące w materialny zakres stosowania RODO, np. gdy dotyczą codziennych spraw życia codziennego.

Analizując dokładnie definicję strony trzeciej możemy dojść do wniosku, iż stroną trzecią wg RODO mogą być np. organy publiczne czy też służby mundurowe, które realizując swoje obowiązki, stosują zgodnie z art. 2 ust. 2 lit. d RODO inne przepisy niż RODO, choć mogą wykonywać czynności identyfikowane jako przetwarzanie danych osobowych.

 

Podsumowując, w procesie przetwarzania danych strona trzecia pojawia się w praktyce rzadko i niejednokrotnie przypisanie podmiotowi takiej roli na pierwszy rzut oka nie jest łatwe.  W interpretacji definicji strony trzeciej pomocny okazuje się art. 2 RODO.

Sytuacja byłaby bardziej klarowna, gdyby w polskim tłumaczeniu RODO, użyto pojęcia „osoba trzecia”,  które było już znane z dyrektywy 95/46/WE oraz występuje w kodeksie cywilnym.

Ochrona medycznych danych osobowych – wywołanie pacjenta

Omawiając temat danych osobowych w służbie zdrowia, należy zwrócić uwagę, że w motywach RODO dokładnie opisano, czym są dane osobowe dotyczące zdrowia.

Zgodnie z motywem 35 preambuły do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą:

  1. Informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE (9); numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych.
  2. Informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych.
  3. Wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

Powołując się na „Przewodnik po RODO w służbie zdrowia” wydany przez Ministerstwo Cyfryzacji w nawiązaniu do motywu 35, należy rozważyć możliwe przykładowe metody wywołania pacjenta zgodne z RODO w pomiocie leczniczym, a mianowicie:

  • Wezwanie z wykorzystaniem numeru identyfikacyjnego, nadanego zgodnie z wskazaniami art. 36 ust. 5 ustawy o działalności leczniczej znaku/pseudonimu numerycznego. Wpisywanie tych numerów do dokumentacji medycznej następuję z jednoczesnym przekazaniem ich pacjentowi. Pacjent jest wzywany wówczas do gabinetu po tym unikalnym numerze.
  • Wezwanie po numerze nadanym podczas rejestracji. Takie rozwiązanie nie wymaga dużych kosztów finansowych, a jest związane z nadawaniem unikalnego numeru podczas rejestracji w sposób zapewniający przekazanie numeru lekarzowi w gabinecie oraz pacjentowi. (np. wpisany w dokumentację w systemie, dopięty do karty).
  • Wezwanie po godzinie wizyty, wizyty są umawiane na konkretną godzinę, w sposób uniemożliwiający pokrywanie się tych godzin.
  • Wezwanie po imieniu, gdy jest to wystarczające (np. w kolejce jest tylko jedna osoba o takim imieniu).
  • Rozwiązania mieszane:
    1. Wezwanie z użyciem imienia i godziny wizyty np. Pan Marcin z godziny 12:15.
    2. Wezwanie z dodaniem numeru gabinetu np. Pan Adam z godziny 12:00 proszony jest do gabinetu nr 5.
    3. Wezwanie za pomocą elektronicznego systemu identyfikacji pacjentów (numerki wyświetlane nad gabinetami).
  • W przypadku gdy jest kilka kategorii pacjentów lub rodzajów poradni, możliwe jest przydzielanie numerków o różnych kolorach (np. czerwona jedynka).

    Jeżeli jest to możliwe, w szczególności gdy osoba wykonująca zawód medyczny zna pacjenta, może zrezygnować z wskazanych wyżej sposobów wezwań.

Należy zaznaczyć, że niezależnie od powyższego, możliwe jest zastosowanie metody identyfikacji tożsamości z wykorzystaniem nazwiska bądź imienia i nazwiska oraz innych niezbędnych danych osobowych pacjenta w przypadku zaistnienia zagrożenia zdrowia bądź życia, a nie jest jednocześnie możliwe wykorzystanie wyżej wymienionych metod.

Formularz kontaktowy a RODO

W celu ułatwienia kontaktu z przedsiębiorcą, powszechnie stosowanym narzędziem udostępnianym użytkownikom stron internetowych jest formularz kontaktowy.  Umożliwia on zadanie pytania niezależnie od pory dnia i nie wymaga od użytkownika opuszczania strony w celu wysłania maila za pośrednictwem własnego konta poczty elektronicznej.

Aby móc ustosunkować się do pytania przesłanego przez formularz kontaktowy, administrator serwisu musi uzyskać od użytkownika konkretne informacje umożliwiające mu kontakt zwrotny. W zależności od charakteru formularza, zakres danych, które trzeba w tym celu zamieścić, może ograniczać się do adresu e-mail bądź zawierać szereg dodatkowych informacji. W większości przypadków administrator serwisu stanie się więc administratorem danych osobowych, co wiąże się z koniecznością spełnienia wymagań określonych przepisami RODO.

O czym trzeba pamiętać przed umieszczeniem formularza

Przy konstruowaniu formularza kontaktowego zgodnego z RODO, administrator powinien wyznaczyć cele w jakich będzie przetwarzał dane użytkowników. Zazwyczaj jest nim udzielenie odpowiedzi na zadane pytanie, lecz czasem dane z formularzy wykorzystywane są w celach marketingowych lub dla usprawnienia wykonania umowy pomiędzy użytkownikiem i administratorem serwisu.

Po wyznaczeniu celu, konieczne jest wdrożenie środków zapewniających realizację podstawowych zasad przetwarzania danych. Szczególną wagę należy przywiązać do realizacji zasad minimalizacji i celowości, a więc należy zadbać aby nie wymagać od użytkownika serwisu danych, które nie będą konieczne do osiągnięcia celu przetwarzania wskazanego przez administratora. Często więc wystarczające jest, aby użytkownik wpisał do formularza adres poczty internetowej lub numer telefonu, choć w niektórych przypadkach niezbędne mogą okazać się inne informacje jak np. numer umowy, do której odwołuje się użytkownik, numer klienta, imię i nazwisko.

Kolejną kwestią, o której należy pamiętać w przypadku umieszczenia na stronie formularza kontaktowego, jest konieczność spełnienia obowiązku informacyjnego względem użytkowników. Można w tym celu zamieścić klauzulę informacyjną pod formularzem, bądź odwołać się do polityki prywatności. Przepisy nie wskazują dokładnie w jakiej formie należy spełnić wspomniany obowiązek, ważne jest, aby informacja przekazywana była w chwili zbierania danych i spełniała wymogi przejrzystości tj. by była zwięzła, łatwo dostępna i zrozumiała. Szczegółowy zakres informacji, których należy udzielić zamieszczony został w art. 13 RODO.

Zgoda na przetwarzanie danych

Podstawą przetwarzania danych w ramach formularza kontaktowego nie zawsze będzie zgoda osoby, której dane dotyczą.  Administrator danych w zależności od celu w jakim prowadzi komunikację za pomocą formularza, sam musi zdecydować na jakiej podstawie będzie przetwarzał dane osobowe. Dla przykładu, jeżeli formularz prowadzony jest w celu obsługi kontrahentów umowy, właściwą przesłanką może być „niezbędność do wykonania umowy” (art. 6 ust. 1 lit. b RODO) z kolei, gdy jego główną funkcją jest zbieranie opinii użytkowników dotyczących korzystania z serwisu podstawą może być uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).

W przypadku gdy administrator serwisu zdecyduje się na przetwarzanie danych osobowych za pomocą zgody, należy pamiętać że powinna ona być dobrowolna, konkretna, świadoma i jednoznaczna. Oznacza to, że aby była ona ważna wymagane jest:

– aktywne działanie użytkownika serwisu przy jej wyrażeniu,

– aby nie była wymuszona i została wyrażona w konkretnym celu,

– udzielenie podmiotowi danych wyczerpujących informacji dotyczących przetwarzania.

Rozwiązaniem pozwalającym na uzyskanie zgody jest zastosowanie w formularzu pól wyboru (tzw. checkbox), które użytkownik strony musi zaznaczyć aby przesłać informację przez formularz kontaktowy. W przypadku zastosowania takiego elementu należy jednak pamiętać, aby pole wyboru nie było domyślnie zaznaczone, co podważałoby wyraźność zgody.

120 000 funtów kary za zgubionego pendrive’a

Brytyjski organ nadzoru nad przestrzeganiem przepisów o ochronie danych osobowych (Information Commissioner’s Office) nałożył na lotnisko Heathrow w Londynie karę w związku z wyciekiem danych osobowych.

Zdarzenie, które było przedmiotem postępowania miało miejsce w październiku 2017 roku, a więc pod rządami poprzednich przepisów. Data jego wystąpienia jest na tyle istotna, iż w brytyjskich mediach można spotkać się ze sformułowaniem, że port lotniczy „uciekł” przed wysokimi karami RODO. Na tle obecnie grożących kar administracyjnych (nawet 20 mln euro) 120 tysięcy funtów można faktycznie odbierać jako niski koszt (maksymalnie w ówczesnym stanie prawnym administratorom danych groziła kara w wysokości 500 tysięcy funtów).

Incydent polegał na zgubieniu przez pracownika lotniska pendrive’a, na którym znajdowało się 2,5 gigabajtów poufnych informacji. Osoba, która znalazła urządzenie, przejrzała jego zawartość przy użyciu komputera dostępnego w publicznej bibliotece, a następnie przekazała ją do lokalnej gazety, która po skopiowaniu danych, przekazała pendrive z powrotem lotnisku.

Dysk zawierał ponad 1000 plików i nie był w żaden sposób zabezpieczony (brak hasła, brak szyfrowania).

O ile liczba plików zawierających dane osobowe była stosunkowo niewielka, to jednak ich „ciężar gatunkowy” był dosyć duży – jeden z nich zawierał np. wideo szkoleniowe, które ujawniało dane dziesięciu osób, w tym nazwiska, daty urodzenia, numery paszportów, a także inne informacje na temat blisko 50 członków personelu ochrony lotniska.

Brytyjski organ nadzorczy w toku dochodzenia stwierdził również, że tylko 2% z 6500 pracowników zatrudnionych przez lotnisko Heathrow zostało przeszkolony w zakresie ochrony danych. Ponadto, powszechne korzystanie z przenośnych nośników było sprzeczne z wewnętrzną polityką portu lotniczego, a środki zapobiegające pobieraniu danych osobowych na nieautoryzowane lub nieszyfrowane nośniki były nieefektywne.

Poza danymi osobowymi pendrive zawierał również inne poufne informacje, w tym m.in.:

  1. Informacje o dokładnej trasie, którą Elżbieta II przemieszcza się podczas korzystania z lotniska oraz środki bezpieczeństwa stosowane w celu jej ochrony;
  2. Harmonogram patroli ochraniających teren lotniska przed zamachowcami-samobójcami i atakami terrorystycznymi;
  3. Mapy wskazujące rozmieszczenie kamer CCTV oraz sieć tuneli i szybów ewakuacyjnych połączonych z Heathrow Express;
  4. Drogi i zabezpieczenia dla ministrów i zagranicznych dygnitarzy;
  5. Szczegóły systemu radarowego ultradźwięków stosowanego do skanowania dróg startowych i ogrodzenia lotniska.

 

Źródła:

https://securityboulevard.com/2018/10/heathrow-airport-escapes-hefty-gdpr-fine-gets-only-120000-under-1998-dpa-for-2017-privacy-breach-incident/

 

https://www.telegraph.co.uk/technology/2018/10/08/heathrow-airport-fined-120000-serious-data-breach/

Wiążące reguły korporacyjne

Przepisy dotyczące wiążących reguł korporacyjnych funkcjonowały już na gruncie starej ustawy o ochronie danych osobowych, jako jedna z możliwości przekazywania danych osobowych w ramach grupy kapitałowej z państw UE do państw trzecich. Wiążące reguły korporacyjne to zestaw dokumentów, które mają zagwarantować odpowiedni poziom ochrony przekazywanych danych osobowych. RODO doprecyzowuje tę kwestię.

Z mechanizmu tego korzystać mogą zarówno administratorzy danych, jak i podmioty przetwarzające. Zgodnie z art. 4 pkt 20 „wiążące reguły korporacyjne” są to polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą.

RODO nie definiuje pojęcia grupy kapitałowej, natomiast w art. 4 pkt 19 wprowadza pojęcie „grupy przedsiębiorstw”, które oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane.

Zgodnie z motywem 110 preambuły grupa przedsiębiorstw lub grupa przedsiębiorców prowadzących wspólną działalność gospodarczą, powinna móc korzystać z zatwierdzonych wiążących reguł korporacyjnych przy międzynarodowym przekazywaniu danych z Unii do organizacji w tej samej grupie przedsiębiorstw lub w grupie przedsiębiorców prowadzących wspólną działalność gospodarczą, pod warunkiem, że w takich regułach korporacyjnych są ujęte wszystkie podstawowe zasady i egzekwowalne prawa zapewniające odpowiednie zabezpieczenia na potrzeby przekazywania danych osobowych lub na potrzeby określonych kategorii przekazań danych osobowych. Z powyższego wynika, że wiążące reguły korporacyjne stanowią swego rodzaju zbiór zasad, które mają zapewnić bezpieczny sposób przekazywania danych osobowych poza granice UE, co zostało potwierdzone w art. 46 ust. 2.

Zgodnie z art. 47 ust. 1 wiążące reguły korporacyjne musi zatwierdzić właściwy organ nadzorczy zgodnie z mechanizmem spójności wskazanym w art. 63. pod warunkiem, że są one prawnie wiążące oraz mają zastosowanie do każdego z członków grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą, w tym ich pracowników, i są przez każdego z tych członków egzekwowane i wyraźnie przyznają osobom, których dane dotyczą, egzekwowalne prawa
w związku z przetwarzaniem ich danych osobowych.

Aby możliwe było zastosowanie powyższego rozwiązania, grupa kapitałowa musi posiadać co najmniej jeden podmiot na terenie UE i jeden w państwie trzecim. Istotne jest, iż wiążące reguły korporacyjne nie mogą być stosowane przez podmioty publiczne.

II Polski Kongres Prawa Ochrony Danych Osobowych

Dnia 15 marca 2019 r. odbędzie się II edycja Polskiego Kongresu Danych Osobowych, organizowana przez magazyn ODO. W czasie trwania spotkania zostanie wygłoszone ponad 18 prelekcji i warsztatów, a swój udział potwierdziło ponad 20 ekspertów z branży.

W naszym imieniu prezentację poprowadzi Daria Worgut – Jagnieża, Lead Data Privacy Specialist, która opowie o praktycznych aspektach realizacji praw podmiotów danych.

Agenda prezentacji:

Praktyczne i techniczne aspekty realizacji praw podmiotów danych

  • Prawa podmiotów danych
  • Opłaty za realizację żądań
  • Sposoby organizacji obsługi żądań
  • Udział procesora i subprocesora w procesie obsługi żądań
  • Systemy IT – czy wszystkie z nich wymagają dostosowania?
  • Elektroniczny rejestr zgód jako metoda zarządzania zgodami

 

Więcej informacji na stronie: https://kongres-odo.pl/

Porównanie funkcji IOD oraz ABI

Ustawa o ochronie danych osobowych z 29 sierpnia 1997 roku, wprowadziła do prawa polskiego funkcję Administratora Bezpieczeństwa Informacji (ABI), który działał z powołania Administratora Danych, oraz określała między innymi w jakim terminie należy zgłosić fakt powołania lub odwołania ABI do Generalnego Inspektora Ochrony Danych Osobowych.

Wejście w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), doprowadziło do przekształcenia funkcji ABI w Inspektora Ochrony Danych (IOD) oraz wprowadziło pewne zmiany zarówno dla osób pełniących tę funkcję jak i dla administratorów danych. Tryb zgłaszania IOD został z kolei wskazany w krajowej Ustawie o ochronie danych osobowych z dnia 10 maja 2018 roku.

Jedną z najważniejszych różnic pomiędzy stanem prawnym przed 25 maja 2018 r. i po tej dacie, jest zmiana podejścia dot. obowiązku powołania ABI/IOD. O ile ustawa z 1997 roku, wskazywała wyłącznie iż „Administrator danych może powołać „Administratora Bezpieczeństwa Informacji”, dając Administratorowi Danych jedynie przywilej powołania ABI, to już w RODO określono jakie podmioty są obowiązane powołać IOD, co zostało następnie doprecyzowane w ustawie z 2018 roku. Artykuł 37 Rozporządzenia, który dość dokładnie wskazuje kiedy Administrator Danych oraz Podmiot Przetwarzający mają obowiązek powołania IOD, został dodatkowo uszczegółowiony w artykule 9 Ustawy z 2018 roku, gdzie wskazano, które organy i podmioty publiczne są obowiązane do wyznaczenie IOD – są to jednostki sektora finansów publicznych, instytuty badawcze oraz Narodowy Bank Polski.

Wraz z wejściem w życie RODO, zmianie uległy również kwalifikacje wymagane do pełnienia funkcji ABI na mocy Ustawy z 1997 roku. Zgodnie z poprzednim stanem prawnym, osoba która miała zostać Administratorem Bezpieczeństwa Informacji musiała spełnić 3 warunki: mieć pełną zdolność do czynności prawnych; posiadać odpowiednią wiedzę w zakresie ochronnych danych osobowych oraz nie być wcześniej karaną za przestępstwo umyślne. W samym tekście Rozporządzenia znaleźć można wyłącznie lakoniczny opis wymagań dla Inspektora Ochrony Danych, który to powinien zostać „wyznaczony na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania zadań, o których mowa w art. 39.”

Ponadto, w wyniku wprowadzenia nowych przepisów Inspektorzy Ochrony Danych dostali nieco inny zestaw obowiązków w porównaniu do tego, czym zajmowali się ABI. Na mocy ustawy z 1997 roku, Administratorzy Bezpieczeństwa Informacji odpowiadali za zapewnienie przestrzegania przepisów o ochronie danych osobowych oraz za prowadzenie rejestru zbiorów danych przetwarzanych przez Administratora Danych. Katalog zadań IOD został w stosunku do zadań ABI zasadniczo poszerzony a sam Inspektor otrzymał również lepszą ochronę prawną. IOD został przede wszystkim zobowiązany do informowania osób przetwarzających dane osobowe o obowiązkach prawnych, które wynikają z RODO  i prawa państwa członkowskiego. Jednym z najważniejszych zadań Inspektora jest również współpraca z krajowym organem nadzorczym oraz pełnienie punktu kontaktowego dla organu w organizacji, w której został powołany, w kwestiach związanych z przetwarzaniem danych. IOD, który został powołany w danej organizacji nie może otrzymywać odgórnych instrukcji dotyczących wykonywania przez niego zadań, nie może za poprawne wykonywanie swoich obowiązków zostać karany albo odwołany.

Zmiany wprowadzone na podstawie RODO, wprowadziły nowy etap dla osób odpowiedzialnych w organizacjach za prawidłowe i zgodne z prawem przetwarzanie danych osobowych. Ustanowienie nowych obowiązków dla Inspektora zostało rozsądnie połączone z lepszym zabezpieczeniem jego praw i realne ustawienie go wyżej w hierarchii swojej organizacji.

IOD w gabinetach dentystycznych

Według RODO zarówno dentysta (lekarz) prowadzący działalność jako osoba fizyczna, jak i kliniki stomatologiczne oraz szpitale prowadzające działalność w dużej skali są administratorami danych swoich pacjentów, ale także swoich pracowników – to znaczy że mają obowiązek przestrzegania przepisów o ochronie danych osobowych.

Zgodnie z art. 37 RODO administrator i podmiot przetwarzający mają obowiązek wyznaczenia inspektora danych w przypadku przetwarzania szczególnych kategorii danych, a więc danych dotyczących stanu zdrowia na „duża skalę”. RODO nie definiuje pojęcia przetwarzanie danych na dużą skalę, ale w wytycznych Grupy Roboczej art. 29 ds. ochrony danych z 13 grudnia 2016 roku dotyczących inspektorów ochrony danych („DPO”) przeczytamy, że Grupa powołuje się na motyw 91 RODO, wyjaśniając że operacje przetwarzania o dużej skali to operacje, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym, lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować duże ryzyko naruszenia praw i wolności podmiotów danych. Zgodnie z wytycznymi przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie danych na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, lub innego pracownika służby zdrowia lub prawnika.

W związku z powyższym  pojedynczy dentysta, który samodzielnie prowadzi gabinet stomatologiczny, nie ma obowiązku powołania inspektora danych osobowych, natomiast klinika stomatologiczna, która zatrudnia większą ilość specjalistów, powinna taki obowiązek spełnić.

Przy ocenie dużej skali należy także ocenić obszar, na którym następować będzie przetwarzanie danych – im większe terytorium, tym większa liczba danych będzie przetwarzana. W tym przypadku możemy uznać, że przetwarzanie odbywa się na dużą skalę.  W tym pojęciu może jak najbardziej się mieścić przetwarzanie danych pacjentów w ramach prowadzonej działalności przez szpital czy klinikę. Ocenę kryterium dużej skali należy dokonywać każdorazowo w kontekście konkretnego stanu faktycznego.

Należy zauważyć, że inspektorem danych osobowych może być tylko osoba fizyczna. Funkcję inspektora danych osobowych może pełnić osoba zatrudniona przez administratora lub podmiot przetwarzający na podstawie stosunku pracy albo na podstawie umowy cywilnoprawnej. Przepisy RODO nie wskazują jednak przesłanek odwołania. Jedynie art. 38 ust.3 mówi o tym, że administrator lub podmiot przetwarzający  mogą rozwiązać umowę  o pracę z inspektorem ochrony danych, w przypadku jeśli nie realizuje on zadań określonych w umowie o pracę, lub umowie cywilnoprawnej. RODO również nie przewiduje odpowiedzialności IOD za niewłaściwe wykonanie swoich obowiązków.

IOD-a w RODO – 200 dni w praktyce

Jakie problemy pojawiają się przy prowadzeniu rejestrów wymaganych przez RODO? Co wziąć pod uwagę przy outsourcowaniu wdrożenia RODO i funkcji DPO? Na jakie praktyczne problemy można natknąć się przy stosowaniu wdrożonych procedur w praktyce?

To niektóre z pytań, na które będziemy szukać odpowiedzi podczas śniadania organizowanego wspólnie z kancelarią prawną KRK Kieszkowska Rutkowska Kolasiński.

Podczas spotkania podzielimy się naszą wiedzą i doświadczeniem m.in. w następujących kwestiach:

§  Doświadczenia i problemy związane ze stosowaniem RODO

§  Monitoring pracowników / profilowanie w organizacji

§  Cyberbezpieczeństwo pod ustawą o krajowym systemie cyberbezpieczeństwa i dyrektywą NIS

Zagadnienia prawne związane z ochroną danych osobowych omówią nasi Konsultanci oraz przedstawiciele KRK reprezentujący praktykę IP/IT.

Śniadanie odbędzie się w Warszawie, w hotelu Warszawa – przy Placu Powstańców Warszawy 9  (poziom 0) w czwartek 28 lutego 2019 r., w godz. 9.30 – 11.30 (zapraszamy od godz. 8:45).

 

Liczba miejsc jest ograniczona, dlatego prosimy o mailowe potwierdzenie chęci udziału w spotkaniu na adres: marketing@audytel.pl

 

Serdecznie zapraszamy!

Kontrole sektorowe UODO

Prezes Urzędu Ochrony Danych Osobowy udostępnił zatwierdzony plan kontroli sektorowych na rok 2019.

Wśród badanych podmiotów znajdą się te zdefiniowane w sektorze publicznym – tutaj kontrolerzy będą m. in. kontynuować prace nad sprawdzaniem poprawności prowadzenia miejskiego monitoringu wizyjnego oraz zakresu i sposobu informacji publikowanych w BIP-ach.

W sektorze organów ścigania i sądów na kontrolę powinny przygotować się m.in. Straż Graniczna, Policja oraz Areszty Śledcze.

Kontrolerzy UODO będą także weryfikować poprawność przestrzegania przepisów w szkołach, placówkach oświaty, podmiotach udzielających świadczeń zdrowotnych oraz u, szeroko rozumianych, pracodawców (sektor zdrowia, szkolnictwa i zatrudnienia). Co do tych ostatnich, PUODO wydał wytyczne w zakresie rekrutacji i monitoringu wizyjnego pracowników i to właśnie tych obszarów przetwarzania danych dotyczyć mają kontrole.

Sektor prywatny badany będzie pod kątem prowadzenia telemarketingu, poprawności podstaw prawnych stosowanych u brokerów baz danych oraz profilowania przez banki i ubezpieczycieli.

 

Szczegóły dostępne pod linkiem https://uodo.gov.pl/pl/138/679.

 

O specyfice kontroli prowadzonych przez Urząd Ochrony Danych Osobowych, zgodnie z przepisami ustawy z 10 maja 2018r. o ochronie danych osobowych, pisaliśmy już wcześniej:

  1. https://rodoradar.pl/1466-2/;
  2. https://rodoradar.pl/kontrola-przeprowadzana-organ-nadzorczy-kontrolujacy-upowaznienia-cz-ii/;
  3. https://rodoradar.pl/kontrola-przeprowadzana-organ-nadzorczy-przebieg-kontroli-cz-iii/.